Két hónapja meghalt egy német nő, miután a helyi kórház hackertámadás miatt nem tudta ellátni. Az eset felveti az elkövetők közvetlen felelősségét, a törvény adta lehetőségek viszont szűkösek a felelősségre vonáshoz.
Nem is olyan rég járta be a világsajtót a hír, hogy egy idős beteg lehet a zsarolóvírusok első halálos áldozata. A 78 éves, értágulatban szenvedő düsseldorfi asszony szeptember 11-én igényelt volna sürgősségi ellátást, ám az érte siető mentők nem szállíthatták a legközelebbi kórházba, mivel egy hackertámadás miatt összeomlott az intézmény számítástechnikai rendszere. A fennakadást egy zsarolóvírus okozta, ami egy sor kulcsfontosságú adatbázist zárolt, majd váltságdíjat követelt a feloldásukért.
A kártevő településével napokra ellehetetlenült az orvosok, a szabad férőhelyek és a kezelések koordinálása, így az egyébként 1000 fős kapacitású komplexum csak feleannyi beteg ellátását tudta vállalni. A düsseldorfi asszonyt ezért a 32 km-re lévő wuppertali kórházba kellett szállítani, ami nagyjából egy órás késést jelentett. A beteg sajnos nem sokkal élte túl a kitérőt, röviddel a megérkezését követően elhunyt.
Az eset nagy port kavart, mivel felvetette, hogy a vírus készítői felelősségre vonhatók a kerülőre kényszerített páciens haláláért, méghozzá gondatlanságból elkövetett emberölés vádjával. A kölni ügyészség munkához is látott, a sikerhez azt kellett volna bizonyítaniuk, hogy a támadás miatt késlekedő sürgősségi ellátás közvetlenül összekapcsolható az asszony elhunytával. Két hónapnyi nyomozás után azonban arra jutottak, hogy a törvény nem biztosít alapot a további vizsgálathoz.
A kórház először szeptember 10-én észlelte a vírust, ugyanakkor könnyen megeshet, hogy az már jóval régebben jelen volt a rendszerben. Az intézmény ugyanis olyan kiterjedt hálózatra épül, hogy akár hónapok is eltelhettek, mire valaki először találkozott a fertőzött fájlokkal. A kórház konkrétan azt állítja, hogy a kártevő bejutását lehetővé tevő biztonsági rést még januárban befoltozták, azaz a telepítő akár 9-10 hónapot is “várhatott” az aktiválódásra.
Az ügy különösen érdekes fordulata, hogy minden jel szerint egy félrement támadásról volt szó. A zárolt adatokért váltságdíjat követelő üzenetet ugyanis nem a kórháznak, hanem a düsseldorfi Heinrich Heine Egyetemnek címezték. A hatóságoknak sikerült kapcsolatba lépniük az elkövetőkkel, akik a katasztrofális baklövésről értesülve önként átadták a túszul ejtett rendszerek feloldásához szükséges kulcsot. Markus Hartmann, a kölni legfőbb ügyész szerint azonban ez nem valódi jótétemény, hanem csak egy jól kifundált PR-fogás volt:
“Tapasztalataink szerint a hackerek bármit megtennének a pénzért, de megeshet, hogy a kórház feltörésével járó közfigyelem és az intenzív nyomozás már túl sok volt nekik.”
De még ha őszinte is volt a támadók segítsége, nem jelentett azonnali megoldást. Hiába kezdték el ugyanis a helyreállítást már szeptember 11. reggelén, az intézmény rendszerei még 20-án sem működtek megfelelően. A hálózaton nem lehetett adatokhoz hozzáférni, sem pedig felvinni őket, de még az emailezés sem üzemelt. A kármentés a kulcs birtokában is rendkívül aprólékos munkának bizonyult, mivel a vírus 30 szervert érintett, a történtek után pedig máig tartó biztonsági felülvizsgálatot kellett indítani az egész infrastruktúrán.
Egyértelmű, hogy az elhalasztott műtétek, az akadozó kezelés és a kapacitáscsökkenés komoly károkat okozott, s orvosi szempontból az sem teljesen kizárható, hogy a 78 éves áldozat tragédiájában is szerepet játszott. A bizonyítás viszont lényegében lehetetlen, ehhez ugyanis a német törvények szerint az ügyészségnek azt kellene alátámasztania, hogy azonnali ellátással még menthető lett volna az asszony.
Hartman csapata azonban a boncolást és az egészségügyi szakemberekkel való konzultációt követően arra jutott, hogy az áldozat a mentősök kiérkezésekor már olyan súlyos állapotba került, hogy az azonnali ellátás sem segíthetett rajta. A legfőbb ügyész morbid példával élve úgy fogalmazott, hogy az eset olyan volt, mintha egy gyorshajtó elütött volna egy holttestet az autójával: átlépte ugyan a sebességhatárt, de mégsem felelős a halálért.
Így pedig ki lehet mondani, hogy a zsarolóvírusok (tudomásunk szerint) eddig még nem követeltek egyetlen életet sem. A düsseldorfi támadás végrehajtóit csak hagyományos vádakkal (zsarolás, hackelés) lehet felelősségre vonni, már ha egyáltalán sikerül valaha. Egyrészt eleve nem könnyű felderíteni az elkövetők személyét, másrészt a német hatóságok itt orosz szálakat fedeztek fel, ahonnan nem sűrűn adnak ki kiberbűnözéssel vádolt személyeket.
Hartmann szerint viszont csak idő kérdése, hogy a zsarolóvírusok tényleg valakinek a halálát okozzák. Egy kevésbé súlyos állapotban lévő páciens kezelésének elmaradásánál ugyanis már könnyebb lesz bizonyítani a hackertámadás sorsdöntő mivoltát, ami precedenst teremtene a későbbi esetek megítéléséhez is. Hartmann úgy véli, hogy az ok-okozati viszony jogilag már akkor is megállapítható, ha az áldozat a „szükségesnél” csak néhány órával korábban hal meg, csakhogy ezt a betegségek természete miatt nem könnyű meggyőzően alátámasztani.
Ugyanakkor az is további kérdéseket vetne fel, ha egy-egy ilyen támadásnál megállna a gondatlan emberölés vádja. A düsseldorfi nyomozás során az ügyészség például arra is felkészült, hogy mérlegelje a kórházi rendszert kezelő IT-s személyzet felelősségét: vajon hatékonyabban is megvédhették volna az intézményt, ha jobban figyelnek? Elvégre például egy épület elleni robbantásos merényletnél is vizsgálandó tényező, hogy megkapta-e a szükséges karbantartást, azaz nagyobb odafigyeléssel csökkenthető lett volna-e az áldozatok száma?
A zsarolóvírusokkal kapcsolatos felelősségi kérdések tisztázása azért is lenne időszerű, mert egyre több ilyen támadás éri az egészségügyi intézményeket. 2019-ben az USA-ban több mint 750 szolgáltató vált célponttá, de még a koronavírus idején sem kímélték az országot a hackerek. Markus Hartmann szerint pedig a düsseldorfi esetből még akkor is érdemes levonni a következtetéseket, ha az idős asszony halála nem hozható konkrét összefüggésbe a kártevővel. „Ez egy figyelmeztető jel a létfontosságú infrastruktúrák működtetőinek, hogy minden védelmi hibának végzetes következménye lehet. Valamint a hackerek közül is bárkinek, hogy nem várhatja, hogy a zsarolóvírusa terjesztése kizárólag pénzügyi károkkal jár majd.”-véli a kölni legfőbb ügyész.
Forrás: Wired
Borítókép: Kevin Ku/Unsplash
